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Résumé — Avec la réintroduction de l’arithmétique en terminale $ il m’a semblé 
opportun de présenter quelques activités sur les problèmes récents de codage et de 
chiffrement en portant une attention particulière au logarithme discret. Les activités 
décrites sont exploitables en DEUG et motivent l’apprentissage de la congruence. 
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1 Numéro INSEE 


L’arithmétique est quotidiennement utilisée pour détecter des erreurs et protéger l’information 
([4]). Nous le voyons ici dans cette première activité signalée dans le fascicule de l’IREM ([6]) 
qui propose en outre l’étude d’autres clés de contrôle courantes telles les clés utilisées dans le 
numéro RIB (Relevé d’Identité Bancaire), dans le numéro L.S.B.N (International Standard Book 
Number) ou encore sur le code UPC (Universal Product Code) plus connu sous le nom de code 
barre des supermarchés. 


Activité 1. Le numéro INSEE à 15 chiffres permet d'identifier chaque citoyen français. Notons- 
le A1. Les 13 premiers chiffres de À; forment le nombre À tandis que les 2 derniers chiffres 
constituent une clé X dont le but est de détecter quelques erreurs grossières. On peut donc 
écrire A1 = 1004 + K. 

Le nombre À est obtenu de la façon suivante : en écrivant de gauche à droite, on place d’abord 
un 1 ou un 2 suivant qu’il s’agisse d’un homme ou d’une femme, puis les deux derniers chiffres 
de l’année de naissance suivis par les deux chiffres du mois de naissance. 

Viennent ensuite les deux chiffres du département de naissance, suivis des 3 chiffres répertoriant 
la commune de la naïssance. Les 3 derniers chiffres sont ceux de l’ordre d’inscription sur le 
registre d'Etat Civil de la commune. Enfin la clé K est égale à 97 — r où r désigne le reste de 
la division de À par 97. 


1) Vérifier votre numéro INSEE. 
2) On pose A2 = À + K. Montrer que A2 est divisible par 97. 
3) Soientne Net a € {1,2,...,96}. Montrer que 97 ne divise jamais a10”. 


4) Pour vérifier la validité d’un numéro INSEE A1, on calcule A2. Si A2 est divisible par 97, 
on estime que le numéro est valide. Sinon on le rejette. Montrer que cette façon de procéder 
permet la détection d’une erreur dans le numéro INSEE. 
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5) Montrer que l’on peut aussi détecter toute permutation de 2 chiffres consécutifs dans le 
numéro INSEE. 


6) Donner un exemple de numéro erroné non détecté par ce procédé. 
Solution 1 — 2) On a A2 = A+ K = 97q +7 +(97 —r) =0 (97) 


3) 97 est premier et les seuls facteurs premiers de al10” sont à choisir parmi les diviseurs 
premiers de 1,2,...,96. Et 97 n’est pas dans cette liste. 


4) Si un seul chiffre de A1 est modifié, il en est de même de 42 qui devient 4° avec : 
[45 — 4] = 410" oùa€ {1,2,..,9} etneN. 
La question précédente montre que 97 ne divise pas | 4, — 42|, donc que 97 ne divise pas 45, et 
l’erreur est détectée. 


5) Supposons qu’il y ait permutation de deux chiffres consécutifs (et distincts) dans A1. De 
trois choses l’une : 


a) Ces deux chiffres sont dans A. Si l’on prime les données erronées, on a : 
K'=K et | 45 — 42] =|4'+K"-(A+K)|] = |A" — A] = [ab — ba] 10° 
où ab = 10a + b. Ainsi : 
[45 — 42] = |10a + b — (10b + a)| .10° = 9 |a — b| .10" 


et 9|a — b] < 81 quand a et b varient dans {1,2,...,9}. La question 3) montre alors que 97 ne 
divise pas | 4, — 42|, donc que 97 ne divise pas 45, et l’erreur est détectée. 


B) Ces deux chiffres sont dans X. On à 4’ = A et | 45 — A2] = |K' — K| de sorte que le 
raisonnement soit le même que le précédent. 


y) Ces deux chiffres sont l’un dans À, l’autre dans X. Il existe un entier naturel B tel 
que : 
A=A+K où A1 = B.10 + a10° +b10+c 
A, = A'+K' où A! = B.10* + b10? + a10 + c 
donc À =10B +a, K —=b10 +c, 4’ = 10B +b, K' = a10 + c, et : 
[AS . A) = 9 la — b|.10”. 


On conclut comme en a). 


6) On additionne 97 à un vrai numéro INSEE. 


2 Chiffrement affine 


Abordons maintenant le domaine important de la cryptographie et de la protection des données. 
Le chiffrement proposé ici (et cité en {6]) n’est pas suffisant mais permet une incursion dans 
les problèmes spécifiques à la cryptographie : création de clés de chiffrement, fonctions « sens 
unique » et méthode d’attaque contre un message crypté. 


Activité 2. Soit 7 = {0,1,2...,25}. Représentons chaque lettre de l’alphabet par un élément de 
l’anneau Z/26Z ou, ce qui revient au même, par un nombre de 1. On se propose de chiffrer un 


message en utilisant une clé (a,b) € 1? et en procédant de la façon suivante : à tout à € Z/26Z 


on associe l'élément f(4)(&) — at +b, définissant ainsi une application (ab) : Z/26Z — Z/26Z . 
Pour que cette application représente bien une fonction de chiffrement, il faut et il suffit qu’elle 
soit injective. 
1) Montrer l’équivalence entre 
i) f{a,) est injective 
ii) (a) est surjective 
ii) a est premier avec 26. 


2) Déterminer l’ensemble (Z/26Z)" de tous les éléments à de Z/26Z tels que a soit premier 
avec 26. 


3) Montrer que (a1,b1) Æ (a2,b2) entraine (4, 8,) À fab) En déduire le nombre de clés 
(a, b) possibles. 


4) On suppose ici que (a, b) = (17,3). 
a) Trouver une solution de l'équation 17x — 26k = 1 dans Z. 
b) Pour y € 4 26Z, exprimer far, 3) (ÿ) en fonction de ÿ et montrer l'existence d’un couple 


(a!,b') tel que f;,1 a7,3) = J(a,v). La fonction f,.1 {7,3) permet de déchiffrer le message. 


5) Le but de cette question est de montrer la faiblesse du chiffrement affine devant une attaque 
: si g désigne la fonction réciproque de f(4,5), montrer que g t= à (ÿ—b) pour un à’ convenable, 
puis expliquer comment s'organiser pour trouver la clé de déchiffrement. 


6) Une autre attaque peut être menée de la façon suivante. On peut calculer la fréquence 
d'apparition des symboles dans le message chiffré puis avoir une idée de la traduction de certaines 
lettres. À partir de ces données probables, on déchiffre entièrement le message pour voir s’il ne 
devient pas clair. On recommence ce procédé jusqu’à l’obtention du message en clair. Voyons 
ce que cela donne dans la pratique... 

Supposons connues les traductions de 20 et 23. Pouvez-vous trouver la clé (a, b) du chiffrement 


affine tel que {5 (5) = 20 et ft (10) = 23 ? 


Solution 2 — 1) far) : Z/267 — Z/26Z est injective si et seulement si f{4) (Z/26Z) est 
équipotent à l’ensemble de départ, c’est-à-dire de cardinal 26. Compte tenu de l'inclusion 
(av) (Z/26Z) € Z/26Z, cela équivaut à l'égalité fus) (Z/26Z) — Z/26Z, soit à la surjectiv- 
ité de f{ap). On a montré l’équivalence entre i) et ïi). L’équivalence entre ïi) et iii) provient des 
équivalences : 


(ab) Surjective < Vy € Z/26Z 3x € Z/262KkEZ ax +b = y+26k 
& VyEZx,kezZ ax —-26k = y—-b 
& %,kE€EZ ax —-26k—1 
&  pgcd(a,26) — 


2) L'image de 26 par la fonction indicatrice d’Euler est 4 (26) = (2 — 1)(13 — 1) = 12. I y 
aura donc 12 éléments dans (Z/26Z)". On trouve : 


(Z/262)" = {1,3,5,7,9,11,15,17,19,21,23,25). 


3) Si fab) — F(av,b2) alors en particulier les images de Ô et de 1 coïncident, i.e. bi = bo et 


Qi + by = & + bo. Cela entraine (à1, 1) _ (à, b2) soit (a1,01) — (a2,b2). Il y aura 12 choix 
possibles pour a, puis 26 choix possibles pour b, ce qui nous fera 12 x 26 — 312 clés au total. 


4.a) L’algorithme d’'Euclide s'écrit : 
26=17xX1+9; 17=9xX1+8 9=8x1+1, 
d’où après calculs 17 (—3) — 26 (—2) = 1. 
4.b) Pour ÿ donnée, il faut résoudre l'équation ft17,3) (&) = 17& +3 = ÿ en à. 
Première solution — Cherchons les entiers x, k vérifiant 17x — 26k = y — 3. 


17x — 26k = y —3 
17 (3) (y — 3) — 26(-2) (y — 3) = y —3 
& 17(2+3y—-9)=26(k+2y—6). (x) 


17x —-26k=y-3 & 


17 divise 26 (k + 2y — 6) en étant premier avec 26, donc divise (k + 2y — 6) et il existera un 
entier u tel que k + 2y — 6 = 17u. En remplaçant dans (+), on obtient : 


x =9—3y+17 
< : oùuEzZ 
k=6—2y+17u 
Ainsi fs (ÿ) = 9 —3ÿ = 23ÿ +9 = 23,0) (ÿ). 
Deuxième solution — On anticipe sur la question 5. Chercher l'inverse de 17 revient à 


résoudre 17x — 26k = 1 dans Z. On trouve 17 = —3, donc : 
172+3=ÿy e à = —3(ÿ — 3) = 23ÿ +9. 
5) Par hypothèse à est inversible dans Z/26Z, donc : 
fan(t)=ai+b=ÿy era (y—-b). (+) 
Ainsi g (ÿ) = à’ (ÿ — b) où à’ est l'inverse de à. Il suffit de faire décrire l’ensemble : 


(Z/26Z)* x Z/26Z 


à (a. b), c’est-à-dire envisager 12 X 26 — 312 possibilités, pour trouver la clé de déchiffrement. 
Remarquons au passage que (++) prouve que la fonction g de déchiffrement associée à f{av) est 
de la forme f{4 4) et que : 


fa, (0) = d'y - db = fa (ÿ) 


où (c, d) = (a mod 26, a/b mod 26) (ici e mod 26 représente le reste de la division euclidienne de e 
par 26). 


6) 
Fab) (5) — 20 a5+b = 20 — 
; _ ne . + 04 = 3. 
fes (10) = 93 a10 +b = 23 
Comme 5 x (—5) = 1 l'inverse de 5 sera —5 — 21. L'équation 54 — 3 équivaut donc à 


à = 21.3 = 11, d'où b = 20 — 5à = 20—3 = 17. 


3 Cryptosystème utilisant l’exponentiation 


Les paragraphes 3.1 à 3.4 sont traités dans le cadre général d’un corps fini F, à q — p° éléments 
(où p est un nombre premier et s € N*) et font référence à [2]. Ils permettent de nous placer 
dans le contexte du paragraphe 3.5 dont les activités seront de niveau terminale ou DEUG et 
n’utiliseront que des congruences modulo p. 


3.1 Logarithme discret 


Le groupe multiplicatif F? est cyclique. On peut donc trouver un élément b qui engendre mul- 
tiplicativement F?, ie. tel que F5 = {1,b,b?,...,b1?}. Un tel élément b est appelé élément 
primitif de F,. L'application de {0,1,..,q — 2} qui à r associe b” est une bijection d’inverse 
notée ind, et appelée logarithme discret en base b, ou encore index en base b. Ainsi : 


DÉrSg est Sri (@). 
Puisque b est d'ordre q — 1, 


pinde(xy) = pinde(æ) pindo(y) & pinde(æy)—inds(x)—inds (y) =]; 


& (g—1){(inds (xy) — inds (x) — inde (y)) 
& ind, (xy) = ind, (x) + indy (y) (q — 1) 


et l’on retrouve la relation caractéristique des fonctions logarithmes. En d’autre termes la fonc- 
tion ind, définie sur (FŸ, .) et à valeurs dans le groupe additif Z/ (q — 1) Z est un homomorphisme 
de groupes. 


Le problème du calcul explicite de l'index d’un élément quelconque de F? est connu sous le nom 
de problème du logarithme discret. C’est un problème dont la complexité croît rapidement avec q 
si bien que l’on puisse estimer que pour q > 21% l’exponentiation r + b” constitue une fonction 
trappe (ou fonction à sens unique). Cela signifie que le calcul de b” à partir de r s’effectue en 
un temps raisonnable, mais que réciproquement l’obtention de l’index de y € F? est impossible 
en un temps satisfaisant. C’est cette propriété qui nous permet de construire un cryptosystème 
basé sur l’exponentiation dans le paragraphe suivant. 


3.2 Principe du chiffrement 


Tout élément x de F? vérifie l'égalité fondamentale 2971 = 1. Si a désigne un entier tel que 
1<a<q—2et pgcd(a,q— 1) = 1, le théorème de Bezout assure l'existence de deux entiers 
u,v tels que au + (q — 1) v = 1, de sorte que : 


_—— aeu+(a—1)v = you (x) 


pour tout x € F?. Supposons que x € F? soit le message à transmettre. Le message chiffré sera 
f (x) = x® tandis que le déchiffrement se fera à l’aide de la fonction g (y) = y”, pour retrouver : 


Les fonctions d’exponentiation f et g sont faciles à mettre en oeuvre et cependant l’attaque d’un 
tel cryptosytème demeure difficile dès que q est assez grand. En effet, un pirate qui possèderait à 
la fois un message en clair x et le message chiffré y = x° serait dans l’impossibilité de trouver la 
clé a tout simplement parce que la résolution de l’équation y = x en a équivaut à la résolution 
de l’équation : 

aindy (x) = indy (y) (q — 1) 


et suppose que l’on sache résoudre le problème du logarithme discret. Un algorithme qui fonc- 
tionne bien dès que qg — 1 se factorise en utilisant seulement de « petits » nombres premiers est 
détaillé au paragraphe suivant. 


Notons que la nature du cryptosystème que nous venons de décrire est identique à celle du 
procédé R.S.A détaillé en [3]. Il suffit de remplacer F, par Z/nZ où n = pq est le produit de 
deux entiers premiers très grands. Ici Z/nZ n’est plus un corps mais on peut toujours travailler 
dans le groupe multiplicatif (Z/nZ)* des éléments inversibles de Z/nZ. Ce groupe est d’ordre 
pin) = (p—1)(q—-1). Pour un entier à premier avec $(n) on obtient une équation du style 
au + $(n)v = 1 et l’analogue de la relation (+), à savoir x = 2% pour tout x € (Z/nZ)'. 


3.3 Algorithme de Silver-Pohlig-Hellmann 


Le but de cet algorithme est le calcul de l’index r = ind, (x) où x € F9 et où b est un élément 
primitif de F. Il faut trouver r tel que x = D". Soit q — 1 = [[;",p{"* la décomposition en 


produits de facteurs premiers de g — 1. Pour i € N, écrivons 


— ai—1l CA 
T= T0 + TDi + +To1D; (pi) avec r; € {0,..,p; — 1}. 
g=1 g=1 at ; ; 
On axri — (bri )"0, et comme b ”i est une racine p;-ième primitive de l’unité, cette équa- 
tion détermine parfaitement ro. On recommence ensuite de la même façon en prenant soin de 


: | si si 
remplacer æ par æb="° et la puissance a par DT 
d 4 


a—1 g—1 qg—1 
CRU IE = CRUE = (bn y, 
Ici encore cette équation détermine entièrement r, et ainsi de suite. Au bout du compte on 
connaît les entiers /; tels que r = l; (p;*) et le théorème Chinois permettra de calculer r modulo 
g—1. Cet algorithme sera utilisé dans l’activité 7 plus bas. 


3.4 Autre application : échange de clés sur un réseau 


Une autre utilisation importante de l’exponentiation dans un corps fini est l’échange de clés 
secrètes. Cet échange est pratiqué lorsqu'on envisage par la suite d'utiliser un cryptosystème 
conventionnel tel le D.E.S. (Digital Encryption Standard) : la fonction de chiffrage et celle de 
déchiffrage sont alors entièrement commandée par la connaissance d’une clé unique Æ qui doit 
demeurer secrète. 


Le choix et la transmission de cette clé n’est pas une chose aisée pour nos deux interlocuteurs À 
et B qui viennent de faire connaissance sur le réseau. Bien sûr nos deux interlocuteurs auraient 
pu utiliser un cryptosystème à clés révélées comme le système R.$S.A. mais cela nécessite d’être 
inscrit sur un bottin publique. 


On peut aussi objecter que les systèmes à clés révélées sont plus lents que leurs homologues 
conventionnels. Et c’est bien ce qui se passe dans la pratique : en l’état actuel les systèmes à clés 
publiques sont principalement utilisés pour la distribution de clés nécessaires au fonctionnement 
de cryptosystèmes conventionnels. 


Décrivons le schéma de Diffie-Hellmann. Supposons que deux personnes À et B désirent utiliser 
un réseau informatique pour s’échanger une clé secrète. À choisit un entier À dans {2,3,..., q — 2} 
et transmet b et b* à B en utilisant le réseau. B fait de même en choisissant un entier k dans 
{2,3,...,q — 2} puis en expédiant b* en clair à A. Il ne reste qu’à choisir À — b"* comme clé 
commune et secrète. En effet, À peut calculer (b*)" = K et B calcule (b*)* — K. Si les nombres 
b, b! et bF ont circulé sur le réseau, ils ne suffisent pas à découvrir la clé bË puisque le calcul de 
DE à partir b} et bF est encore un problème non résolu même si l’on connaît b. 


3.5 Activités 


Activité 3 (Petit Théorème de Fermat) 
Soient p un nombre premier et a un entier relatif quelconque. Montrer que l’entier (a + 1)?—aP—1 
est divisible par p. En déduire que a? — a est divisible par p. 


Solution 3 — On a : 


p—1 
(a + 1}? — a? — 1 = Ÿ_ Cra” 
k=1 
par la formule du binôme de Newton et l’on montre que p divise CÈ pour tout & € {1,...,p—1}. 
En effet, p! = kl! (p — k)ICE montre que p divise k! (p — k)1CF . L’entier p, premier, sera premier 
avec tout nombre qu’il ne divise pas. En particulier p sera premier avec k, k — 1, etc donc sera 
premier avec le produit k! (p — k)!. Le théorème de Gauss montre alors que p divise (gi | 


Montrons que a? — a est divisible par p par récurrence sur a (lorsque a € N). C’est trivial si 
a = 0. Si c'est vrai au rang a, 


(a+1)—(a+1) = [(a +1)? — a? —1]+ [a — a]. 


L'hypothèse récurrente montre que p divise les deux termes entre crochets, donc divise la dif- 
férence (a + 1)? — (a +1) et la propriété sera héréditaire. Si a < 0, on peut toujours écrire la 
division euclidienne a = pq +r avec 0 < r < p (si l’on veut éviter les congruences) et développer 
l'expression (a + 1)? — (a +1) pour ramener le problème à la divisibilité de (r +1}? — (r +1) 
déjà résolu. # 

Activité 4 (Ordre multiplicatif d’un élément de F,) 

Soit p un nombre premier. Notons F, l’anneau Z/pZ et F5 = F,\{0}. 


1) Montrer que pour tout élément x de Fy il existe x’ € F; tel que x.x' = 1. En utilisant le 
petit théorème de Fermat déduire que x?! = 1 pour tout x € 1e 


2) Soit x € F$. Montrer qu’il existe un plus petit entier naturel non nul e vérifiant x° = 1. Le 
nombre e s’appelle l’ordre multiplicatif de x. Montrer ensuite en utilisant une division euclidienne 
que : 

a)2*=14 elk, 
b) L'ensemble À, des puissances de x possède e éléments et : 
À = La Ho : 


Solution 4 — 1) Si x = n avec 7 € {1,...,p — 1}, le théorème de Bezout montre l'existence de 
deux entiers u, v tels que qu + pu = 1, d’où qu = 1 et il suffit de prendre x/ = ü. L'activité 
précédente entraine x? = x d’où l’identité demandée en multipliant les deux membres par x’. 


2) Comme x?! = 1, l’ensemble des entiers naturels non nuls k vérifiants x* = 1 n’est pas 
vide. Etant inclus dans N, il possèdera un plus petit élément e. 


Montrons a) : si # — eq, alors x* — (x°)? — 1. Réciproquement, si 4" — 1 la division 


euclidienne de k par e s'écrit k = eg+r avec 0 < r <e. On déduit xË = x” = 1 d’où r = 0 pour 
ne pas contrarier la définition de. 

Montrons b) : la division euclidienne ci-dessus montre que Az — {1, HAS, HR Il suffit 
de vérifier que deux éléments xt et x° où 0 < t,s < e ne sont jamais égaux pour conclure à 
HA; = e. L'égalité x! = x° entraine xt* = 1 avec par exemple { > s. D’après a), cela implique 
que e divise { — s, et comme 0 <t—s<e cela entraine t =s. 1m 


Activité 5 (Puissances d’un élément dans F:27) 

1) Montrer que 127 est un nombre premier. 

2) Ecrire un programme permettant de calculer l’ordre e d’un élément x de F?,; (i.e. de trouver 
le plus petit entier naturel non nul e vérifiant x° = 1). En déduire que Fi, = {1,3,3?, ...,31#} 
en utilisant l’activité 4. 

3) De façon indépendante de ce qui précède, voici une méthode permettant de calculer une 
puissance de 3 dans Ff,-, par exemple 37%. 

a) Calculer d’abord les nombres 3, 3?, 3, 3, 3, 7. 32° dans F7: 

b) Exprimer 73 en base 2, puis en déduire 37%. 
Solution 5 — 1) C’est l’occasion d'utiliser le crible d’'Erathostène. 127 n’est pas divisible par 
2, 3,5, 7, 11, 13 et 13? > 127 donc on peut s’arrêter. 


2) En basic : 

I0INPUT A:B=A:Il—1 

15 IF A<=1 OR A>=—127 THEN 10 

201 —I+1:B—B*A 

30 IF B>126 THEN B = B-INT(B/127)*127 

40 IF B = 1 THEN PRINT ” L'ordre de”; A est”; I : END 
50 GOTO 20 


Un tel programme montre que l’ordre multiplicatif de 3 est 126, autrement dit que l’ensemble A3 
des puissances de 3 possède 126 éléments et que ÀÂ3 = {i RE COR Se Comme Ff,7 possède 
126 éléments on aura Fi27 = A3. 


3.a) Dans Fior, 32 = 9 donc 32° = (32)? = 81, puis : 


3% — (37)? =81?—84 (modulo 127) 


et ainsi de suite pour obtenir : 


[11319781] 84/717]88 [124=-3] 
3.b) 73 = 26 + 23 + 1 donc : 
378 2 3% x 32 x 31 = _3 x 84 x 3 = —756 = 6 (modulo 127). m 


Activité 6 (Cryptosystème utilisant l’exponentiation dans F:27) 


Le tableau ci-dessous permet d’associer un nombre de Ff,, à chacune des lettres de l’alphabet 
et à quelques signes de ponctuation. Par exemple la lettre H est représentée par le chiffre &. 
En fait on représentera au hasard la lettre H par 8, 38, 68 ou 98 pour éviter que l’on casse 
trop facilement ce cryptosystème en calculant la fréquence d’apparition des symboles dans un 
message chiffré. Avec cette convention, 54 représente aussi la lettre X. 


ABISDENISENIIIKIEIMIN]O 
ENÉRENESEILIRSENEIENEUUNEEME ETES 


PIQIR|ISITIU|VIWIX]Y]Z 1]. 1), 7 }espac) 


Les entiers 5 et 126 sont premier entre eux et l’algorithme d’Euclide permet d’obtenir l'identité 


101x5—4x126 = 1. Le théorème de Fermat montre que 126 = 1 d’où x = x101*5-4%126 — ,,101x5 


pour tout x € Fi. Si l’on pose f (x) = x° et g(y) = y!°1 on aura go f(x) = x. Cela nous 
invite à choisir f comme fonction de chiffrement et g comme fonction de déchiffrement. Prenons 
par exemple le message SALUT. On le traduit en chiffres de F,, grâce au tableau ci-dessus, ce 
qui donne (par exemple) 19-1-42-81-20. On applique la clé de chiffrement f pour obtenir : 


f(9)-f (1)-f (42)-f (81)-f (20) = 195-15-425-81-205 
107-1-104-36-108. 


Le message chiffré est 107-1-104-36-108. Pour le déchiffrer on calculera chacune des images de 
ces nombres par g. 


1) Ecrire un programme permettant le calcul de la puissance n-ième d’un élément x de F5. 
2) Déchiffrer le message : 
124-35-9-74-31-111-82-116-2-121-79-29-62-83-107. 


Solution 6 — 1) Par exemple en basic et en utilisant la fonction partie entière INT, 


1 REM Calcul de X puissance N dans F127 

5 PRINT ” X PUISSANCE N?” 

10 INPUT °X =”; X PN —: N: Y=1 

15 IF X<=0 OR X>—127 THEN 10 

20 FOR I=1 TON: Y = V*X 

25 IF Y>126 THEN Y = Y-INT(Y/127)*127 
30 NEXT I 

35 PRINT X ; "PUISSANCE”: N :” =": Y 
40 END 


2) g(124) = 124101 = 17 correspond à la lettre Q... Le message en clair sera après calculs 
« QUE DE CHIFFRES ». mn 


Activité 7 (Attaque du cryptosystème de l’activité 6) 


Un pirate vient d’avoir accès à un message en clair et à son chiffrage. Il sait aussi que la méthode 
de chiffrement employée est celle de l’exponentiation dans F127 décrite dans l’activité 6. Le 
message en clair est 20 tandis que le message chiffré est 108. Il se propose de déterminer des 
clés possibles a du chiffrement, puis de rechercher la clé u de déchiffrement. 


Il s’agit donc dans un premier temps de trouver l’entier a de {0,1,...,125} vérifiant 20% = 108 
dans F127. On a vu dans l’activité 5 que l’ordre multiplicatif de 3 est 126 autrement dit que 
Fior = {1,3,32,...,31#5}. La bijection qui à x € Ff,, associe r € {0,1,...,125} tel que x = 3" 
s’appelle ”le logarithme discret en base 3 ” ou index en base 3” et l’on note r = ind3 (x). 


1) Montrer que pour tout x,y € Fi, 
ind3 (xy) = inds (x) + ind3 (y) (126) 


et en déduire que ind3 (x) = nindz3 (x) (126) pour tout n € N. 
2) Montrer que l’équation 20% = 108 dans F2, équivaut à a ind3 20 = ind 108 (126). 
3) Cette question propose une méthode de calcul de l’index r = ind3 20 connue sous le nom 
d’algorithme de Silver-Pohlig-Hellman. On a 20" = 1 et 126 = 2.32.7. 
a) Sir = ro (2) avec ro € {0,1}, vérifier que 206% = 35%"0, En déduire ro = 1. 
b) Si r = 50 + 51.3 (3?) avec 50,81 € {0,1,2}, montrer que 204 = 342%, puis en déduire 
so = 0. Montrer ensuite que 2014 = 3421, En déduire s1 = 2. 


c) Sir = to (7) avec ro € {0,..,6}, vérifier que 20 = 318%, En déduire to = 0. 
d) Trouver l’unique nombre r de l’ensemble {0, 1, ...,125} satisfaisant les trois conditions 
r=1l (2),;r=6 (9)etr=0 (7). 


4) On admet que ind3 108 = 21. Trouver tous les éléments a de F*,, satisfaisant l’équation 
20% — 108. Dites bièvement comment on pourrait déterminer la clé a utilisée dans le chiffrement. 


Solution 7 — 1) Comme 3 est d’ordre 126, l’égalité ginds(æy) = 3inds(x) 3inds(y) équivaut à 
la divisibilité de (ind3 (xy) — ind (x) — ind3 (y)) par 126. La seconde identité se montre par 
récurrence sur n. 

2) 20% — 108 équivaut à 3414320 — 3ind3 108 GÇu encore à a ind 20 = ind3 108 (126) puisque 3 
est d’ordre multiplicatif 126. 

3.a) On a 207 = 32" soit 206 = 3630 puisque 3126 — 1. Cela entraine —1 = (—1)"® d’où 
TO. — L: 


3.b) De même : 


203 —3 3 (o+s13) 4 2942 34250 à 1 — 107% & 59 — 0 


et : 


208 = 38 (6018) & 203% & 19 — 107% 
107 = 3% est une racine primitive 3-ième de l'unité donc s1 s’en déduit. On trouve 107? = 19 
donc $1 — 2. 
3.c) 


126 12 240 


207 =37" & 92083 


3.d) On résout le système (cf. [1] ou [5]) : 


r=1+2u 
r = Tv avec üu,v,w € Z 
r = 6 +9w 


pour trouver r = 105 soit ind3 20 = 105. 


4) On a les équivalences : 


20% —=108 &< aïind3 20 = inds 108 (126) 
& 105a = 21 (126) 
& ba=l (6). 


Cette dernière congruence équivaut à a = 5 (6). On obtient toute une série de clés probables 
ayant permis le chiffrement à savoir les nombres a = 5 + 6k où k € Z. Pour chacun de ces 
nombres a on détermine u € {0,...,126} tel qu'il existe v € Z avec au + 126v = 1 puis on 
teste la clé g(y) = y“ de déchiffrement possible sur le reste du message pour voir s’il ne devient 
pas lisible. Une autre méthode consisterait à recommencer la recherche de conditions sur a en 
utilisant une autre lettre chiffrée dont on connaîtrait la traduction. m 
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